Dalam rentang waktu antara bulan Juli dan September, serangan malware DarkGate mencapai keberhasilan dengan memanfaatkan akun Skype yang telah diretas. Serangan tersebut bertujuan mencemari korban tertentu melalui pesan yang mengandung lampiran skrip pemuat VBA. Tim peneliti keamanan Trend Micro, yang mengidentifikasi serangan ini, menemukan bahwa skrip tersebut bertugas mengambil skrip AutoIT tahap kedua yang telah disesuaikan untuk menyimpan dan menjalankan malware DarkGate.
Trend Micro mencatat bahwa penyerang memperoleh akses ke akun Skype korban, memungkinkan mereka untuk mengintervensi dalam percakapan yang sedang berlangsung dan mengubah nama file lampiran untuk mencocokkan dengan konteks riwayat obrolan. Meskipun metode yang digunakan untuk meretas akun aplikasi perpesanan instan ini masih belum diketahui dengan pasti, diduga bahwa mereka memanfaatkan kebocoran kredensial yang tersedia di forum bawah tanah atau mungkin sebagai akibat dari pelanggaran keamanan yang telah dilakukan oleh organisasi induk sebelumnya.
Selain itu, Trend Micro juga memperhatikan upaya operator DarkGate dalam mencoba menyebarkan malware mereka melalui platform Microsoft Teams kepada organisasi yang telah mengonfigurasi layanan mereka untuk menerima pesan dari pengguna eksternal. Sebelumnya, telah diidentifikasi bahwa operator DarkGate telah menggunakan kampanye phishing Teams yang menggunakan VBScript berbahaya untuk menyebarkan malware DarkGate, ini pun dicatat oleh Truesec dan MalwareBytes.
Menurut penjelasan mereka, penjahat ini mengarahkan upaya mereka terhadap pengguna Microsoft Teams dengan memanfaatkan akun Office 365 yang telah disusupi, yang berasal dari entitas di luar organisasi target. Mereka juga menggunakan alat publik yang dikenal sebagai TeamsPhisher, yang memberikan penyerang kemampuan untuk menghindari pembatasan pengiriman file dari penyewa eksternal dan mengirimkan lampiran phishing kepada pengguna Microsoft Teams.
Sasaran utama mereka tetap konsisten, yaitu infiltrasi seluruh lingkungan. Bergantung pada kelompok ancaman tertentu yang memperoleh atau menyewakan varian DarkGate khusus yang digunakan, jenis ancamannya dapat bervariasi mulai dari ransomware hingga penambangan kripto. Trend Micro mencatat, “Dari data telemetri kami, kami melihat bahwa serangan DarkGate sering kali dikaitkan dengan alat yang sering digunakan oleh kelompok ransomware seperti Black Basta.”
Penggunaan pemuat malware DarkGate telah mengalami peningkatan yang signifikan sebagai sarana bagi pelaku dunia maya untuk mendapatkan akses awal ke jaringan perusahaan. Ini merupakan tren yang muncul setelah gangguan pada botnet Qakbot pada bulan Agustus, yang merupakan hasil dari kerja sama lintas negara.
Sebelum Qakbot dibongkar, seseorang yang mengklaim sebagai pengembang di balik DarkGate mencoba memasarkan langganan layanan di forum peretasan, menawarkan biaya tahunan hingga $100.000. Malware ini dipromosikan karena berbagai fiturnya, termasuk kemampuan VNC (Virtual Network Computing) yang tersembunyi, kemampuan untuk menghindari deteksi oleh Windows Defender, alat untuk mencuri riwayat peramban, integrasi proxy terbalik, pengelola file, dan kemampuan untuk mencuri token Discord.
Setelah pengumuman tersebut, terjadi peningkatan yang nyata dalam kasus infeksi DarkGate yang dilaporkan, dengan berbagai metode pengiriman, seperti phishing dan malvertising. Tingkat aktivitas DarkGate yang baru-baru ini meningkat menunjukkan peningkatan pengaruh operasi malware sebagai layanan (Malware-as-a-Service) dalam dunia kejahatan siber. Hal ini juga menyoroti tekad yang kuat dari pelaku ancaman untuk terus melakukan serangan, serta kemampuan mereka dalam menyesuaikan taktik dan metode sebagai respons terhadap gangguan dan tantangan yang muncul.